Investigadores de ciberseguridad del Threat Analysis Group (TAG) de Google afirman que una empresa comercial de España ha desarrollado un (se abre en una nueva pestaña) Disponible para Windows, Chrome y Firefox, y es posible que se haya vendido a una entidad gubernamental en algún momento en el pasado.
En una publicación de blog publicada a principios de esta semana, el equipo de TAG dijo que una empresa con sede en Barcelona llamada Variston IT puede estar vinculada al marco Heliconia, que explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender. (se abre en una nueva pestaña)También dijo que la compañía probablemente proporcionó todas las herramientas necesarias para implementar la carga útil en el punto final de destino. (se abre en una nueva pestaña).
sin explotación activa
Todas las empresas afectadas repararon las vulnerabilidades explotadas a través del marco Heliconia en 2021 y principios de 2022, y dado que TAG no ha visto ningún exploit activo, es probable que el marco se haya utilizado para vulnerabilidades de día cero. No obstante, para protegerse completamente contra Heliconia, TAG recomienda que todos los usuarios actualicen su software de manera oportuna.
Google alertó por primera vez a Heliconia con un compromiso anónimo de Chrome (se abre en una nueva pestaña) Reportero de errores. La persona que hizo la confirmación agregó tres errores, cada uno con una descripción y un archivo que contiene el código fuente. Se denominan «Heliconia Noise», «Heliconia Soft» y «Files». Un análisis posterior reveló que contenían «un marco para implementar exploits en la naturaleza» y que el código fuente apuntaba a Variston IT.
Heliconia Noise se describe como un marco para implementar exploits para errores del renderizador de Chrome seguido de escape de sandbox. Por otro lado, Heliconia Soft es un framework web que despliega un PDF que contiene exploits de Windows Defender y Files es una suite de Firefox. (se abre en una nueva pestaña) Se encontraron vulnerabilidades tanto en Windows como en Linux.
Dado que el exploit Heliconia funciona en las versiones 64 a 68 de Firefox, es probable que se use a fines de 2018, dijo Google.
En una entrevista con TechCrunch, el director de TI de Variston, Ralf Wegner, dijo que la compañía no estaba al tanto de la investigación de Google y no podía confirmar los hallazgos, pero agregó que «si se encontrara tal artículo en la naturaleza, se sorprendería».
software espía comercial (se abre en una nueva pestaña) Google dijo que era una industria en crecimiento y agregó que no se quedaría de brazos cruzados mientras las entidades vendían el exploit a gobiernos que luego lo usaron para atacar a opositores políticos, periodistas, activistas de derechos humanos y disidentes.
Quizás el ejemplo más famoso es NSO Group, con sede en Israel, y su software espía Pegasus, que colocó a la compañía en una lista negra de EE. UU.
vía: TechCrunch (se abre en una nueva pestaña)
